2015 高校網(wǎng)絡(luò)信息安全調(diào)研報(bào)告

教育行業(yè)面臨著日益增長(zhǎng)的網(wǎng)絡(luò)安全威脅和信息安全挑戰(zhàn)，形勢(shì)嚴(yán)峻。為了聯(lián)合全國(guó)高校的力量，攜手應(yīng)對(duì)，中國(guó)高等教育學(xué)會(huì)教育信息化分會(huì)成立了網(wǎng)絡(luò)信息安全工作組。為進(jìn)一步摸清各高校安全現(xiàn)狀，了解對(duì)工作組未來(lái)組織開(kāi)展各項(xiàng)工作的期望，特面向全國(guó)高校信息化部門發(fā)起本調(diào)查。調(diào)查起止時(shí)間為 7月20 ～ 26日，結(jié)果將作為網(wǎng)絡(luò)信息安全工作組工作規(guī)劃的重要參考。調(diào)查共回收有效問(wèn)卷134份，覆蓋全國(guó)106所高校。

本次調(diào)查主要分三部分內(nèi)容，以下分別進(jìn)行統(tǒng)計(jì)解讀。

高?；厩闆r調(diào)研

問(wèn)題1：您所在高校位于全國(guó)哪個(gè)地區(qū)？

圖1 調(diào)查反饋學(xué)校分布地區(qū)

從圖1看出，華北、華東、東北、西北、西南、華中、華南的一百余所學(xué)校都進(jìn)行了響應(yīng)，調(diào)查結(jié)果具有代表性。其中華北、華東、東北、西北、華南的反饋比較積極，西南、華中反饋學(xué)校略少。

問(wèn)題2：您所在高校是否開(kāi)設(shè)安全相關(guān)專業(yè)？學(xué)生人數(shù)大致為多少？

如圖2所示，大部分學(xué)校都開(kāi)設(shè)有計(jì)算機(jī)和軟件工程專業(yè)，并且學(xué)生眾多，開(kāi)設(shè)信息安全專業(yè)的學(xué)校占本次調(diào)查總數(shù)的47.8%，學(xué)生規(guī)模也相對(duì)其他專業(yè)較少。

圖2 信息安全專業(yè)開(kāi)設(shè)情況和學(xué)生規(guī)模

問(wèn)題3：您所在高校專業(yè)從事網(wǎng)絡(luò)管理和信息化工作的部門總?cè)藬?shù)大約是多少？

如圖3所示，有62%的高校網(wǎng)絡(luò)管理和信息化部門人數(shù)在20人以內(nèi)，規(guī)模普遍不大，只有14%的團(tuán)隊(duì)超過(guò)40人。

圖3 從事網(wǎng)絡(luò)管理和信息化工作的部門總?cè)藬?shù)情況

問(wèn)題4：您所在高校的網(wǎng)絡(luò)管理和信息化工作部門中從事安全工作（占其工作量超過(guò)50%）的人員有多少？

圖4 高校從事安全工作人員情況

如圖4所示，71%的高校偏重安全工作的人員投入都不到2人，甚至有16%的高校缺失安全人員。不過(guò)也存在個(gè)別比較重視的高校，安全人員投入力量較大，但從全國(guó)總體來(lái)看普遍偏低。

問(wèn)題5：您所在高校近年在網(wǎng)絡(luò)信息安全方向的總資金投入大約是多少？

從近三年發(fā)展趨勢(shì)上看，各校安全投入資金力度在普遍逐年增加，如圖5所示。

圖5 2015年各校網(wǎng)絡(luò)信息安全投入統(tǒng)計(jì)

當(dāng)前安全工作調(diào)研

問(wèn)題6：您所在高校信息化部門是否明確設(shè)立了網(wǎng)絡(luò)信息安全崗位？

仍然有41%的高校由于各種原因，缺失信息安全崗位，如圖6所示。

圖6 高校信息化部門設(shè)立網(wǎng)絡(luò)信息安全崗位統(tǒng)計(jì)

問(wèn)題7：您所在高校信息化部門是否明確了專門的網(wǎng)絡(luò)信息安全負(fù)責(zé)團(tuán)隊(duì)？

已經(jīng)有24%的高校有相應(yīng)職能部門甚至專門安全部門來(lái)系統(tǒng)處理安全問(wèn)題，但還是要看到38%的學(xué)校仍然缺失安全團(tuán)隊(duì)，如圖7所示。

圖7 高校設(shè)立專門的網(wǎng)絡(luò)信息安全負(fù)責(zé)團(tuán)隊(duì)情況

問(wèn)題8：您所在高校具體從事信息安全的主要人員來(lái)源于以下哪幾方面？

大部分人員都是由于工作需要而兼做相應(yīng)安全工作，真正信息安全專業(yè)科班出身的比例并不高，NOC和系統(tǒng)管理出身來(lái)搞安全的人員比例很高，如圖8所示。

圖8 從事信息安全的主要人員來(lái)源情況

問(wèn)題9：您所在高校是否對(duì)信息系統(tǒng)（業(yè)務(wù)）或信息資產(chǎn)（數(shù)據(jù)）進(jìn)行登記和安全普查？

還是有相當(dāng)部分學(xué)校沒(méi)有做到位，如圖9所示。

圖9 高校對(duì)信息系統(tǒng)（業(yè)務(wù)）或信息資產(chǎn)（數(shù)據(jù)）進(jìn)行登記和安全普查情況

問(wèn)題10：您所在高校的安全投入方向是?（1為很少投入，5為重點(diǎn)投入）

表1 高校的安全投入情況

見(jiàn)表1，對(duì)這些數(shù)據(jù)的解讀仁者見(jiàn)仁，智者見(jiàn)智。安全是一個(gè)體系，不是僅靠一批硬件或者一些軟件就可以解決的，但大部分高校的投入重點(diǎn)還在硬件上。怎么建設(shè)一套符合高校真實(shí)需求的安全架構(gòu)體系，更加均衡的進(jìn)行合理投入，需要深思。

表2 高校安全投入情況統(tǒng)計(jì)

問(wèn)題11：您所在高校已經(jīng)在以下哪些方向進(jìn)行了安全投入？

見(jiàn)表2，安全涉及到方方面面，根據(jù)信息資產(chǎn)的重要程度進(jìn)行相應(yīng)設(shè)防，需要一個(gè)縱深防御體系，各方面的工作都作為重要一環(huán)，互為補(bǔ)充。對(duì)各種安全系統(tǒng)不能簡(jiǎn)單地拿有無(wú)作為標(biāo)準(zhǔn)，而要用是否可以良好運(yùn)營(yíng)去衡量，讓大多數(shù)高校滿意的選擇還是不多。

問(wèn)題12：您個(gè)人認(rèn)為(不代表高校意見(jiàn))以下方向的重點(diǎn)建設(shè)對(duì)網(wǎng)絡(luò)信息系統(tǒng)的安全性提高幫助如何？(1為幾乎沒(méi)有幫助，5為有很大幫助)

見(jiàn)表3，很多高校都已認(rèn)識(shí)到安全的未來(lái)發(fā)展方向，但是有不少現(xiàn)實(shí)的困難阻礙實(shí)現(xiàn)。這就需要全國(guó)各高校聯(lián)手合作，取長(zhǎng)補(bǔ)短，實(shí)現(xiàn)共贏。

表3 對(duì)高校網(wǎng)絡(luò)信息系統(tǒng)的安全性有提高幫助的方向

問(wèn)題13：您所在高校是否有全員安全教育培訓(xùn)體制？

一方面安全要加強(qiáng)可見(jiàn)性，另一方面安全意識(shí)的普及要成為常態(tài)工作，如圖10所示。

圖10 全員安全教育培訓(xùn)體制情況

問(wèn)題14：您所在高校的軟件正版化推進(jìn)是否有落實(shí)？

圖11 軟件正版化推進(jìn)情況

問(wèn)題15：您所在高校在以下采購(gòu)選型中是否會(huì)考慮國(guó)產(chǎn)化因素？

表4 采購(gòu)選型中是否會(huì)考慮國(guó)產(chǎn)化因素

問(wèn)題16：您所在高校的信息系統(tǒng)等級(jí)保護(hù)工作開(kāi)展情況為？

圖12 高校的信息系統(tǒng)等級(jí)保護(hù)工作開(kāi)展情況

問(wèn)題17：您所在高校的各類安全規(guī)范和制度制定及執(zhí)行情況如何？

表5 高校的各類安全規(guī)范和制度制定及執(zhí)行情況

制度固然重要，但是不落實(shí)和沒(méi)有沒(méi)什么區(qū)別，見(jiàn)表5。

問(wèn)題18：您所在高校的重要信息系統(tǒng)是否做過(guò)安全滲透測(cè)試？對(duì)于核心業(yè)務(wù)系統(tǒng)，還是建議去做，如圖13所示。

圖13 安全滲透測(cè)試情況

問(wèn)題19：您所在高校是否已經(jīng)在各類漏洞平臺(tái)注冊(cè)并關(guān)注涉及本校網(wǎng)絡(luò)信息系統(tǒng)的漏洞信息？

表6 各類漏洞平臺(tái)注冊(cè)情況

建議花精力關(guān)注安全漏洞，見(jiàn)表6。

（本報(bào)告出自中國(guó)高等教育學(xué)會(huì)教育信息化分會(huì)網(wǎng)絡(luò)信息安全工作組，有刪減）